Pgp Schlüssel Auf Anderen Rechner Übertragen

Berechnen Sie die Sicherheit und Effizienz beim Übertragen Ihres PGP-Schlüssels auf einen anderen Computer

Die sichere Übertragung von PGP-Schlüsseln zwischen Computern ist ein kritischer Prozess, der sorgfältige Planung erfordert. Dieser umfassende Leitfaden erklärt Schritt für Schritt, wie Sie Ihre PGP-Schlüssel (Pretty Good Privacy) sicher auf einen anderen Rechner übertragen – ohne Kompromisse bei der Sicherheit einzugehen.

Wichtig:

Ein unsachgemäßer Schlüsseltransfer kann zu Datenverlust oder Sicherheitslücken führen. Folgen Sie dieser Anleitung genau und erstellen Sie immer Backups.

1. Vorbereitung: Was Sie vor dem Transfer wissen müssen

1.1 Grundlagen der PGP-Schlüsselübertragung

PGP verwendet ein Public-Key-Kryptosystem mit:

• Privatem Schlüssel: Muss absolut geheim bleiben (niemals übertragen!)
• Öffentlichem Schlüssel: Kann frei geteilt werden
• Passphrase: Schützt Ihren privaten Schlüssel

Für einen sicheren Transfer müssen Sie entscheiden:

1. Welche Schlüsselkomponenten übertragen werden (nur öffentlich oder auch privat)
2. Welche Übertragungsmethode die beste Sicherheit bietet
3. Wie Sie die Integrität des übertragenen Schlüssels verifizieren

1.2 Sicherheitsrisiken beim Schlüsseltransfer

Risiko	Auswirkung	Schutzmaßnahme
Man-in-the-Middle-Angriffe	Abgefangene/manipulierte Schlüssel	End-to-End-Verschlüsselung + Verifizierung
Schlüsselkorruption	Unbrauchbare Schlüsseldateien	Checksummenprüfung (SHA-256)
Phishing-Angriffe	Falsche Übertragungsziele	Manuelle Verifizierung der Empfänger
Lokale Kompromittierung	Schlüssel auf infiziertem System	Air-Gap-Methoden (Offline-Transfer)

2. Schritt-für-Schritt Anleitung: PGP-Schlüssel sicher übertragen

2.1 Methode 1: Offline-Transfer mit USB-Stick (Empfohlen)

Die sicherste Methode für private Schlüssel – komplett offline.

1. Vorbereitung des USB-Sticks:
   • Verwenden Sie einen neuen oder frisch formatierten USB-Stick
   • Formatieren Sie ihn mit FAT32 (kompatibel mit allen Systemen)
   • Prüfen Sie auf Viren mit aktueller Antiviren-Software
2. Schlüsselexport:

   gpg --export-secret-keys -a "Ihr Name" > private.key
   gpg --export -a "Ihr Name" > public.key

   Für nur öffentlichen Schlüssel (sicherer):

   gpg --export -a "Ihr Name" > public.key

3. Sichere Übertragung:
   • Kopieren Sie die Schlüsseldateien auf den USB-Stick
   • Entfernen Sie den Stick sicher (Auswerfen)
   • Transportieren Sie ihn physisch zum Zielcomputer
4. Import auf dem Zielsystem:

   gpg --import public.key
   gpg --allow-secret-key-import --import private.key

5. Verifizierung:
   • Vergleichen Sie Fingerprints auf beiden Systemen:
   • gpg --fingerprint "Ihr Name"
   • Prüfen Sie die Schlüsselgröße: gpg --list-keys

2.2 Methode 2: Verschlüsselte Übertragung über Netzwerk

Für Situationen, in denen physischer Transfer nicht möglich ist.

Achtung:

Diese Methode sollte nur verwendet werden, wenn:

• Beide Systeme als sicher eingestuft sind
• Eine starke zusätzliche Verschlüsselung verwendet wird
• Die Verbindung über ein VPN läuft

1. Schlüsselexport mit Passphrase-Schutz:

   gpg --export-secret-keys -a --passphrase-fd 0 "Ihr Name" > encrypted_private.key
   gpg --export -a "Ihr Name" > public.key

   Sie werden nach einer Passphrase gefragt – wählen Sie eine starke (mind. 20 Zeichen).

2. Zusätzliche Verschlüsselung:

   Verwenden Sie GPG zur symmetrischen Verschlüsselung:

   gpg -c --cipher-algo AES256 encrypted_private.key

   Dies erstellt encrypted_private.key.gpg

3. Sicherer Transfer:
   • Verwenden Sie SFTP/SCP über SSH:
   • scp encrypted_private.key.gpg public.key user@zielcomputer:/pfad/
   • Alternativ: Verschlüsselte E-Mail mit PGP/MIME
4. Import und Entschlüsselung:

   gpg -d encrypted_private.key.gpg > encrypted_private.key
   gpg --allow-secret-key-import --import encrypted_private.key
   gpg --import public.key

2.3 Methode 3: QR-Code Transfer (Air-Gap)

Ideal für die Übertragung zwischen isolierten Systemen.

1. Installieren Sie qrencode und zbar-tools:

   sudo apt install qrencode zbar-tools

2. Exportieren Sie den Schlüssel im ASCII-Format:

   gpg --export -a "Ihr Name" > public.key
   gpg --export-secret-keys -a "Ihr Name" > private.key

3. Erzeugen Sie QR-Codes:

   cat public.key | qrencode -o public.png -s 10 -l H
   cat private.key | qrencode -o private.png -s 10 -l H

4. Drucken Sie die QR-Codes oder zeigen Sie sie auf einem sicheren Bildschirm an
5. Scannen Sie auf dem Zielsystem:

   zbarimg public.png > public.key
   zbarimg private.png > private.key

6. Importieren Sie die Schlüssel:

   gpg --import public.key
   gpg --allow-secret-key-import --import private.key

3. Verifizierung: So stellen Sie die Integrität sicher

3.1 Fingerprint-Vergleich

Der wichtigste Schritt nach jedem Transfer:

1. Auf dem Quellsystem:

   gpg --fingerprint "Ihr Name"

2. Auf dem Zielsystem:

   gpg --fingerprint "Ihr Name"

3. Vergleichen Sie die ausgegebenen Fingerprints Zeichen für Zeichen

3.2 SHA-256 Checksummen

Für zusätzliche Sicherheit können Sie Hash-Werte vergleichen:

sha256sum public.key
sha256sum private.key

Führen Sie dies auf beiden Systemen aus und vergleichen Sie die Ergebnisse.

3.3 Test-Verschlüsselung

Führen Sie einen Test durch, um die Funktionalität zu bestätigen:

1. Erstellen Sie eine Testdatei:

   echo "Dies ist ein Test" > test.txt

2. Verschlüsseln Sie mit dem öffentlichen Schlüssel:

   gpg -e -r "Ihr Name" test.txt

3. Übertragen Sie test.txt.gpg auf das andere System
4. Entschlüsseln Sie:

   gpg -d test.txt.gpg

5. Verifizieren Sie, dass der Originaltext wiederhergestellt wurde

4. Fortgeschrittene Techniken für maximale Sicherheit

4.1 Schlüsselaufteilung (Secret Sharing)

Für extrem sensible Schlüssel können Sie Shamirs Secret Sharing verwenden:

1. Installieren Sie ssss:

   sudo apt install ssss

2. Teilen Sie den privaten Schlüssel in 5 Teile auf (3 benötigt für Wiederherstellung):

   ssss-split -t 3 -n 5 -x private.key

3. Übertragen Sie die Teile über verschiedene Kanäle
4. Auf dem Zielsystem kombinieren Sie die Teile:

   ssss-combine -t 3

4.2 Hardware Security Modules (HSM)

Für Unternehmensumgebungen oder extrem hohe Sicherheitsanforderungen:

• YubiKey: Unterstützt PGP-Schlüssel direkt auf dem Gerät
• Nitrokey: Open-Source-Alternative mit PGP-Unterstützung
• SmartCards: Klassische Lösung für Schlüssel-speicherung

Gerät	PGP-Unterstützung	Preis (ca.)	Sicherheitslevel
YubiKey 5	Vollständig	€50-€70	Sehr hoch
Nitrokey Pro 2	Vollständig	€60-€80	Sehr hoch
OpenPGP Card	Vollständig	€20-€40	Hoch
Ledger Nano S	Eingeschränkt	€60-€100	Sehr hoch

5. Häufige Fehler und wie Sie sie vermeiden

5.1 Fehler 1: Übertragung des privaten Schlüssels ohne Passphrase

Problem: Unverschlüsselte private Schlüssel sind extrem gefährdet.

Lösung:

• Stellen Sie sicher, dass Ihr privater Schlüssel immer mit einer starken Passphrase geschützt ist
• Verwenden Sie gpg --edit-key um eine Passphrase hinzuzufügen:
• gpg --edit-key "Ihr Name" → passwd → speichern

5.2 Fehler 2: Keine Verifizierung nach dem Transfer

Problem: Korrupte oder manipulierte Schlüssel werden nicht erkannt.

Lösung:

• Führen Sie IMMER einen Fingerprint-Vergleich durch
• Testen Sie die Funktionalität mit einer Probeverschlüsselung
• Verwenden Sie zusätzliche Checksummen (SHA-256)

5.3 Fehler 3: Verwendung unsicherer Übertragungskanäle

Problem: Unverschlüsselte E-Mails oder Cloud-Dienste sind angreifbar.

Lösung:

• Verwenden Sie nur verschlüsselte Kanäle (SFTP, GPG-verschlüsselte E-Mails)
• Bevorzugen Sie Offline-Methoden (USB, QR-Code)
• Vermeiden Sie öffentliche Wi-Fi-Netzwerke während des Transfers

6. Rechtliche und Compliance-Aspekte

Beim Transfer von PGP-Schlüsseln – besonders in Unternehmensumgebungen – müssen Sie rechtliche Anforderungen beachten:

6.1 DSGVO (Datenschutz-Grundverordnung)

Wenn PGP-Schlüssel personenbezogene Daten schützen:

• Dokumentieren Sie alle Schlüsseltransfers
• Führen Sie ein Schlüsselmanagement-Protokoll
• Begrenzen Sie den Zugriff auf autorisierte Personen

6.2 Unternehmensrichtlinien

Viele Organisationen haben spezifische Anforderungen:

• Verwendung zugelassener Verschlüsselungsstandards (z.B. AES-256)
• Regelmäßige Schlüsselrotation (empfohlen: alle 1-2 Jahre)
• Zwei-Faktor-Authentifizierung für Schlüsselzugriff

Für offizielle Richtlinien konsultieren Sie:

• Bundesamt für Sicherheit in der Informationstechnik (BSI)
• NIST Computer Security Resource Center
• European Union Agency for Cybersecurity (ENISA)

7. Alternativen zu PGP für Schlüsseltransfer

Während PGP der Goldstandard ist, gibt es Alternativen:

Alternative	Vorteile	Nachteile	Sicherheitslevel
Age Encryption	Moderner, einfacher zu verwenden	Weniger verbreitet als PGP	Hoch
Signal Protocol	Ende-zu-Ende verschlüsselt	Nicht für Dateiverschlüsselung optimiert	Sehr hoch
SSH-Keypairs	Einfach für Serverzugriff	Begrenzte Funktionalität	Hoch
VeraCrypt Container	Volle Festplattenverschlüsselung	Komplexer in der Handhabung	Sehr hoch

8. Zukunft der Schlüsselübertragung: Neue Technologien

8.1 Post-Quantum Kryptographie

Mit dem Aufkommen von Quantencomputern werden aktuelle Verschlüsselungsmethoden unsicher. Neue Standards in Entwicklung:

• CRYSTALS-Kyber: Post-Quantum Schlüsselaustausch
• CRYSTALS-Dilithium: Post-Quantum Signaturen
• NTRUEncrypt: Gitterbasierte Verschlüsselung

8.2 Dezentrale Identitätslösungen

Blockchain-basierte Identitätssysteme könnten PGP ergänzen:

• DIDs (Decentralized Identifiers): Selbstverwaltete digitale Identitäten
• Smart Contracts: Automatisierte Schlüsselrotation
• IPFS: Dezentrale Speicherung öffentlicher Schlüssel

Experten-Tipp:

Beginne jetzt mit der Evaluation von Post-Quantum-Algorithmen. Die NIST-Standardisierung wird voraussichtlich 2024 abgeschlossen. Testen Sie Implementierungen wie:

• Open Quantum Safe
• PQClean

9. Fazit: Best Practices für sicheren PGP-Schlüsseltransfer

Zusammenfassend sollten Sie folgende Grundsätze beachten:

1. Minimieren Sie die Übertragung privater Schlüssel – übertragen Sie nur wenn absolut notwendig
2. Bevorzugen Sie Offline-Methoden – USB-Sticks oder QR-Codes sind sicherer als Netzwerktransfers
3. Verifizieren Sie immer – Fingerprints und Testverschlüsselungen sind Pflicht
4. Dokumentieren Sie den Prozess – besonders in Unternehmensumgebungen
5. Planen Sie für die Zukunft – evaluieren Sie Post-Quantum-Algorithmen
6. Schulen Sie Ihr Team – menschliche Fehler sind die größte Sicherheitslücke

Durch die Befolgung dieser Richtlinien können Sie PGP-Schlüssel sicher zwischen Computern übertragen, ohne die Integrität oder Vertraulichkeit Ihrer verschlüsselten Kommunikation zu gefährden.

Letzter Rat:

Erstellen Sie ein Schlüssel-Notfallkit mit:

• Gedruckten Kopien Ihrer öffentlichen Schlüssel
• Fingerprints in einem physischen Notizbuch
• Anweisungen für vertrauenswürdige Personen im Notfall
• Kontaktdaten von Vertrauenspersonen für Schlüsselwiederherstellung

Bewahren Sie dieses Kit an einem sicheren, physischen Ort auf (z.B. Safe).